SSO(1회 사용자 인증)에 대한 OIDC(OpenID Connect) 구성 생성

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기7분

    • 복수 제공자 SSO 플러그인을 사용하여 OIDC(OpenID Connect) 구성을 생성하거나 업데이트합니다.

    시작하기 전에

    ID 제공자의 클라이언트 ID, 클라이언트 비밀 및 잘 알려진 구성 URL이 있는 경우 SSO에 대한 OIDC 구성을 직접 임포트할 수 있습니다.

    주:
    도메인 분리 플러그인이 설치된 경우 OIDC IdP를 사용한 로그인 옵션은 지원되지 않습니다.

    ID 제공자에 대한 필수 정보가 없는 경우 SSO에 대한 OIDC를 수동으로 구성할 수 있습니다. 구성을 완료한 후 사용자는 다음과 같은 Google Okta타사 소셜 ID 공급자를 사용하여 애플리케이션에 로그인 ServiceNow 할 수 있습니다.

    프로시저

    1. 다음으로 이동 모두 > 복수 제공자 SSO > 계정 제공자.
    2. 다음 옵션 중 하나를 선택합니다.
      • 기존 구성을 업데이트하려면 OIDC ID 제공자 기록을 클릭합니다.
      • 새 구성을 만들려면 새로 만들기 를 클릭하고 OpenID Connect를 선택합니다.
    3. 새 구성의 경우 다음 방법 중 하나로 OIDC 구성 정보를 입력합니다.
      옵션설명
      OpenID 커넥트 잘 알려진 구성 임포트 연결된 클라이언트 자격 증명과 함께 잘 알려진 구성 URL이 있는 경우 OIDC 구성을 직접 임포트할 수 있습니다.
      주:
      OIDC의 잘 알려진 구성을 가져오면 모든 관련 필드가 자동으로 채워집니다.
      수동으로 OIDC ID 제공자 양식 구성 기존 OAuth OIDC 엔터티가 없는 경우 OpenID Connect 잘 알려진 구성 임포트 팝업을 닫고 OIDC ID 제공자 양식의 필드를 수동으로 채웁니다.
      표 1. OpenID 커넥트 잘 알려진 구성 필드 임포트
      속성 설명
      이름 OIDC ID 제공자 구성의 고유한 이름입니다.
      클라이언트 ID 타사 OIDC ID 제공자에 등록된 애플리케이션의 클라이언트 ID입니다.
      클라이언트 비밀 타사 OIDC ID 제공자에 등록된 애플리케이션의 클라이언트 비밀입니다.
      잘 알려진 구성 URL 타사 OIDC ID 제공자에 대한 메타데이터가 포함된 URL입니다.

      OIDC ID 제공자 양식에서 모든 필수 필드를 작성해야 합니다.

      OIDC ID 제공자 양식을 수동으로 작성하기 전에 OIDC IdP에 대한 OAuth 엔터티 프로파일이 이미 있는지 확인하십시오.

      OAuth 엔터티 프로파일이 없는 경우 Okta, Azure 등과 같은 기본 외부 OIDC 제공자 템플릿을 사용하여 생성할 수 있습니다.

      OAuth 엔터티 프로파일의 부여 유형은 인증 코드를 사용해야 합니다. 자세한 내용은 Now Platform에서 OAuth OIDC 제공자 구성을 참조하십시오.

      주:
      여러 공급자 Single Sign-On Installer 플러그인의 데모 데이터에서 타사 ID 공급자, Auth0, Azure AD, Google 및 Okta의 템플릿을 사용할 수 있습니다.
      표 2. OIDC ID 제공자 필드
      속성 설명
      이름 OIDC ID 제공자 기록의 이름입니다.
      활성 OIDC IdP 구성을 활성화하는 옵션입니다.
      주:
      이 옵션은 연결 테스트에 성공한 후에만 활성으로 설정할 수 있습니다.
      기본값 둘 이상의 OIDC 구성이 있는 경우 OIDC IdP 구성을 기본값으로 설정하는 옵션입니다.
      IDP 자동 리디렉션 ID 제공자의 로그인 페이지로 사용자 자동 리디렉션을 활성화하는 옵션입니다. 이 필드는 관련 링크 섹션에서 자동 리디렉션 IdP로 설정 옵션이 설정된 경우에 표시됩니다.
      주:
      새 자동 리디렉션 IdP 구성을 활성화하면 쿠키가 glide_sso_id 자동으로 새 자동 리디렉션 IdP로 업데이트됩니다. glide.authenticate.sso.update.idp.cookie 시스템 속성은 이 기능을 제어합니다.
      OIDC 엔터티 프로파일 OIDC 구성에 대한 OAuth 엔터티 프로파일입니다.
      ServiceNow 홈페이지 인증에 사용되는 로그인 페이지의 URL입니다. 이 필드는 인스턴스 URL로 자동 설정됩니다. URL의 형식은 다음과 같습니다. https://yourinstance.service-now.com/navpage.do
      외부 로그아웃 리디렉션 사용자가 로그아웃한 후 통합이 사용자를 리디렉션하는 URL입니다. 일반적으로 SSO에 사용되는 포털입니다. 이 필드는 external_logout_complete.do 로 자동 설정됩니다(예: https://yourinstance.service-now.com/external_logout_complete.do
      로그인 옵션으로 표시 로그인 페이지에서 OIDC IdP를 로그인 옵션으로 표시하는 옵션입니다. 로그인 옵션이 ID 제공자로 로그인 버튼으로 나타납니다.
      SSO 라벨 로그인 페이지에 표시되는 OIDC IdP의 레이블입니다. 이 필드는 로그인 옵션으로 표시 옵션을 사용하는 경우에만 나타납니다.
      로고 URL OIDC IdP 제공자의 로고가 포함된 공개적으로 사용 가능한 URL입니다. 이 필드는 로그인 옵션으로 표시 옵션을 사용하는 경우에만 나타납니다.
    4. 옵션: 사용자 프로비저닝 탭>사용자 프로비저닝 탭에서 자동 사용자 프로비저닝을 사용하도록 설정합니다.

      사용자 로그인 중에 자동 사용자 프로비저닝을 사용하도록 선택할 수 있습니다. 자동 사용자 프로비저닝이 활성화되면 해당 사용자 기록이 없는 경우 ServiceNow 인스턴스에 사용자 기록이 자동으로 생성됩니다.

      표 3. 사용자 프로비저닝 필드
      속성 설명
      자동으로 사용자 프로비저닝 자동 사용자 프로비저닝을 사용하도록 설정하는 옵션입니다. 이 속성은 사용자가 IdP에서 종료하지만 사용자 테이블에 존재하지 않을 때 인스턴스 사용자(sys_user) 테이블에 사용자를 작성합니다.
      다음을 사용하여 프로비저닝 ID 토큰, 사용자 정보 엔드포인트 또는 ID 토큰과 사용자 정보 모두를 ServiceNow 사용자로 변환하는 데 사용할 데이터 소스입니다. 조회 목록을 사용하여 미리 정의된 데이터 소스 템플릿을 선택한 다음, 기록을 열어 변환 테이블 매핑을 구성합니다.
      프로비저닝 데이터 소스 사용자 프로비저닝에 사용되는 ID 토큰 데이터 소스입니다.
      사용자 정보 데이터 소스 사용자 프로비저닝에 사용되는 사용자 정보 엔드포인트 데이터 소스입니다. 이 필드는 프로비저닝 사용 필드에 대해 사용자 정보 또는 ID 토큰과 사용자 정보를 모두 선택한 경우에 표시됩니다.
      다음 로그인 시 사용자 업데이트 다음 로그인 시 사용자 업데이트를 활성화하는 옵션입니다.
      사용자 간격 시간 업데이트(초) 후속 로그인 간에 사용자 기록을 업데이트하기 위한 최소 시간 간격(초)입니다. 이 필드는 3,600초로 자동 설정됩니다. 예를 들어 사용자가 로그인하면 다음 로그인까지 3,600초 후에 사용자 기록이 업데이트됩니다. 이 필드는 다음 로그인 시 사용자 업데이트 필드가 활성화된 경우에만 사용할 수 있습니다.
      프로비저닝된 사용자에게 적용되는 사용자 역할 새로 프로비저닝된 사용자에게 적용되는 역할 목록입니다.
    5. OIDC 엔터티 탭
      엔터티 기록을 사용하여 OIDC 클라이언트 구성 및 OIDC 연결 플로우를 보고 수정할 수 있습니다.
    6. OIDC 제공자 구성 탭
      OIDC IdP 또는 ID 토큰 클레임 확인의 잘 알려진 구성 URL을 보고 수정할 수 있습니다.
    7. 옵션: 고급 탭

      1회 사용자 인증(SSO) 및 로그아웃 중에 실행되는 스크립트입니다.

      표 4. 고급 필드
      속성 설명
      1회 사용자 인증(SSO) 스크립트 SSO(Single Sign-On) 중에 실행되는 스크립트입니다. 이 필드는 MultiSSO_OIDC_custom로 자동 설정됩니다.
      로그아웃 스크립트 사용자가 로그아웃한 후 실행되는 스크립트입니다. 이 필드는 MultiSSO_OIDC_logout_custom로 자동 설정됩니다.
    8. 옵션: 전자 서명 승인 탭에서 OIDC Idp에 대한 전자 서명을 구성합니다.
      주:
      전자 서명 승인 탭은 전자 서명으로 승인 플러그인(com.glide.e_signature_approvals)을 설치한 경우에만 나타납니다.
      표 5. 전자 서명 승인 필드
      속성 설명
      전자 서명 인증용 Assertion Consumer URL 전자 서명에 OIDC 인증을 처리하는 사용자 지정 방법을 사용하는 경우 고유한 소비자 URL을 설정할 수 있습니다. 예를 들어 복수 제공자 SSO를 사용하는 경우에는 이 속성을 사용할 필요가 없습니다. 이 형식의 URL은 https://yourinstance.service-now.com/consumer.do
      인증 팝업 대화 상자 너비 인증 팝업 대화 상자의 너비입니다. 이 필드는 800으로 자동 설정됩니다.
      인증 팝업 대화 상자 높이 인증 팝업 대화 상자의 높이입니다. 이 필드는 900으로 자동 설정됩니다.
    9. 옵션: 인스턴스의 로그인 페이지로 이동하여 IdP가 로그인 옵션으로 나타나는지 확인합니다.
      URL은 https://yourinstance/login_with_sso.do?glide_sso_id=sysId_IdP 형식이어야 합니다.
      주:
      로그인으로 선택됨 옵션을 활성화한 경우 인스턴스의 로그인 URL로 이동할 수 있습니다.
      로그인 페이지의 여러 OIDC ID 공급자입니다.